Plesner: Det er ikke reglerne, der er udfordringen

Advokat og partner i Plesner Michael Hopp. Foto: PR.
Advokat og partner i Plesner Michael Hopp. Foto: PR. (Foto: PR)

Persondatareglerne giver alvorlige ansigtstrækninger overalt i virksomhedslandskabet i disse måneder, hvor nedtællingen til den nye persondataforordnings ikrafttræden er begyndt. Advokatfirmaet Plesner, der mener at have fundet løsningen på virksomhedernes udfordring, har konstateret helt andre og mere lavpraktiske udfordringer end ventet.

25. maj 2018 er en skelsættende dato. Den nye persondataforordning får retsvirkning for virksomheder, myndigheder og organisationer – med hidtil uset hårde sanktioner til følge, hvis virksomhederne ikke efterlever kravene.

Efter godt og vel et års intensivt rådgivningsarbejde ude i virksomhedslandskabet, hvor panikken mange steder har bredt sig i forhold til at nå at blive klar til de nye krav, gør Plesner status. Og er selv blevet en smule overrasket over, hvordan udfordringerne har udfoldet sig.

”Det er faktisk ikke reglerne i sig selv, der har været den største udfordring,” konstaterer advokat og partner i Plesner Michael Hopp, der er ansvarlig for Plesners rådgivning inden for persondataret.

”Det har vist sig, at det er den praktiske implementering i virksomheden og organisationen, som er det mest vanskelige,” siger han.

Wake-up call
Michael Hopp peger på, at de nye persondataregler er en ordentlig mundfuld for mange virksomheder – men det er ikke i sig selv ’rocket science’ at overholde reglerne, mener han.

”For mange er det et wake-up call. Netop fordi persondataforordningen omfatter så mange dele af en virksomheds afdelinger og forskellige arbejdsgange, så er persondataforordningen reelt en lakmustest på, om en virksomhed har styr på sine interne processer. Reglerne er i vid udstrækning de samme som tidligere – selv om de naturligvis kan være vanskelige nok, hvis man ikke har arbejdet med dem før. Men et centralt banebrydende nyt element er, at det fremover bliver et grundlæggende krav, at virksomheder og organisationer kan dokumentere, at reglerne bliver overholdt,” påpeger Michael Hopp.

Compliant - på den lange bane
Han vurderer, at virksomhederne især har udfordringer i forhold til, hvordan man på den lange bane og i den daglige drift får etableret de rigtige processer, så reglerne også bliver overholdt fremadrettet. 

”Vores klienter kan måske godt se fidusen i, at vi kommer og hjælper med at lave compliance-programmer, laver analyser og sætte kontroller op. Men ude i den virkelige verden er man også meget optaget af at finde ud af, hvordan man som klient ’overtager’ compliance-programmet og får det til at køre på en måde, så det ikke langsomt står og ’smuldrer’. Altså, hvordan sikrer man sig at blive ved med at være compliant, så man ikke skal have fat i sin rådgiver igen efter to år,” siger Michael Hopp.

Plesner har derfor indgået et samarbejde med softwareudviklervirksomheden RISMA Systems, der i forvejen har haft succes med at udvikle og levere compliance- systemer til såvel danske som udenlandske virksomheder. I partnerskab – og med udgangspunkt i RISMAs nuværende værktøjer, har de udviklet redskabet RISMAgdpr, der er et dedikeret compliance-redskab til persondataforordningen.

Det starter med forretningen
”Først og fremmest mener jeg, RISMAgdpr giver værdi, fordi det tager udgangspunkt i virksomhedens forretningsprocesser – og på den måde er det i tråd med de værdier og hele den måde, Plesner i forvejen arbejder på. Vi vender den lidt om. I stedet for at tage udgangspunkt i reglerne, starter vi med at se på, hvordan forretningen egentlig ser ud. Det gælder uanset om man er virksomhed, myndighed eller organisation. Og så nedbryder vi forretningsprocesserne skridt for skridt, så man til sidst ikke længere kan nedbryde det yderligere i forskellige persondataretlige behandlinger,” siger Michael Hopp og uddyber.

”For eksempel kan en forretning helt overordnet nedbrydes i HR og salg. Men HR kan jo igen nedbrydes i lønforhold, medarbejderudvikling og rekruttering, der alle medfører forskellig brug af persondata. Og lønforhold kan igen nedbrydes i skat, lønudbetaling og ferieafvikling. Og så videre. På den måde kan vi placere de relevante spørgeskemaer og såkaldte GAP-analyser i de yderste niveauer,” siger Michael Hopp.

Strukturerede data
CEO i RISMA Lars Nybro Munksgaard, der har en fortid som revisor i forskellige finansielle virksomheder, startede virksomheden ene mand for tre et halvt år siden, og identificerede for godt et års tid siden, hvordan tankegangen bag RISMAs compliance-værktøjer passede som fod i hose med implementering af persondataregler. 

”Pointen er, at vi ved hjælp af strukturerede data, indbyggede risikovurderingsmoduler og kontrolsystemer kan sikre, at virksomheden hele tiden kan vedligeholde oplysningerne om de følsomme persondata, de ligger inde med, og dermed hele tiden kan sikre sig, at de efterlever reglerne. I dette tilfælde er det persondata, men det kan i princippet være hvilken som helst regulering, der skal efterleves,” siger Lars Nybro Munksgaard.

Bliver ikke sårbar
Han forklarer – bare for eksemplets skyld - at en virksomhed ifølge de nye regler skal kunne dokumentere, at den ikke har persondata liggende på tidligere medarbejdere, der ikke har været i virksomheden i fem år. Der er ganske mange virksomheder, der har den type data liggende. Og ganske mange medarbejdere skifter relativt ofte job. Derfor er det et krav, der udfordrer mange virksomheder.

”Her kan systemet både identificere, om du har det pågældende problem, det kan ved hjælp af risikovurderingsmodulet afgøre, hvilke konsekvenser det har i forhold til kravene, det har en systematiseret struktur for, hvordan du får løst problemet, og hvem der har ansvaret for at gøre noget ved det, og det har en række kontrolsystemer, der sikrer, at de pågældende medarbejdere hele tiden bliver mindet om, at de har den pågældende opgave – og inden for en given tidsfrist,” siger Lars Nybro Munksgaard. 

Desuden har RISMAgdpr eskalerende kontrolsystemer, der gør, at virksomheden ikke er sårbar, hvis medarbejderen med det pågældende ansvarsområde ikke passer sit arbejde, er fraværende på grund af sygdom eller ferie eller skifter arbejdsplads.

Færdselsregler
Michael Hopp mener i bund og grund, at de nye persondataregler er sund fornuft. Det er rimeligt, at virksomheder og organisationer har styr på de personlige oplysninger, de har om folk, mener han – selv om reglerne kan virke overvældende. Han sammenligner det lidt med færdselsreglerne. 

”Hvis du sætter dig ned og læser færdselsloven, vil den også i sig selv virke uoverskuelig. Men når man kører rundt ude i trafikken, kan man jo godt se meningen med reglerne,” siger advokaten – der dog ikke mener, at han bliver arbejdsløs foreløbig.

”Jeg tror ikke, udfordringerne med persondataforordningen forsvinder foreløbig. Der er mange virksomheder, der er klar til at håndtere det – ikke mindst i den finansielle sektor og pharma-sektoren, hvor virksomhederne i store træk allerede har et brugbart set up – men der er også mange mindre og mellemstore virksomheder, myndigheder og foreninger, der knap nok har opdaget, at reglerne også gælder dem,” pointerer Michael Hopp.

Lars Nybro Munksgaard. Foto: PR.
Lars Nybro Munksgaard. Foto: PR.
Om GDPR – ifølge Plesner
  • De nye persondataregler (GDPR) omfatter med meget få undtagelser alle virksomheder, organisationer og myndigheder i Danmark. Det betyder, at ligegyldigt om man hidtil har haft fokus på at overholde persondatareglerne eller ej, så bliver man nødt til at gøre det aktivt nu. Det gælder for alle både store, mellemstore og små virksomheder, myndigheder og organisationer.
  • Reglerne er i vid udstrækning de samme som tidligere. Men et nyt element er kravet om, at virksomheder og organisationer kan dokumentere, at reglerne bliver overholdt. Manglende dokumentation kan i selv udgøre et brud på reglerne. Det betyder, at hvis myndighederne kommer på besøg, så er det en overtrædelse af reglerne i sig selv, hvis man ikke kan dokumentere, hvordan man sikrer overholdelsen af reglerne.
  • Når man lærer forordningen at kende, er de nye regler er i bund og grund fornuftige. Det materielle indhold giver en fornuftig balance mellem ’brugerne’ af persondata og personerne. Set i lyset af digitaliseringen af samfundet og den manglende overholdelse af de nuværende regler, er det forståeligt, at lovgiver nu kræver et compliance-program, som dog kan gøres risikobaseret.
  • De nye regler medfører en markant skærpelse af sanktionerne for at overtræde persondatareglerne. Bødeniveauet bliver hævet, så virksomheder kan få en bøde på op til 4 pct. af deres årlige globale omsætning for alvorlige overtrædelser af reglerne. Plesner forventer samtidig et øget fokus på at håndhæve reglerne fra myndighedernes side, når de nye regler træder i kraft.

Skrevet af

Mikael Winkler

Mikael Winkler, Redaktør

I mere end 15 år har Mikael Winkler arbejdet som redaktør og pressechef i bankernes interesseorganisation Finansrådet (nu Finans Danmark), hvor han har oparbejdet en bred indsigt i den finansielle regulering og hele det politiske spil omkring lovgivningsprocesserne – og hvordan reguleringen indvirker på både de finansielle institutter, borgerne og samfundsøkonomien.

Jobannoncer

Klummer

Se alle